19.3602 · Interpellation · 2019-06-13
Département des finances
Liquidé
Wortlaut
La transition numérique entraîne une dépendance accrue aux systèmes et à certains composants numériques essentiels dans l'ensemble de la société. Les risques pour la sécurité sont d'autant plus importants. Dans son dernier rapport sur la sûreté de l'information (Melani), publié au mois d'avril 2019, le Conseil fédéral traite de ces risques en détail. Ceux-ci émanent notamment de ce que l'on appelle les portes dérobées ("backdoors"); il s'agit de fonctions déjà installées lors de la livraison mais qui sont invisibles pour l'utilisateur légitime et qui permettent à des individus malveillants de s'introduire dans les systèmes informatiques pour les espionner ou les saboter. Le Conseil fédéral recommande la mise en place d'une gestion rigoureuse des risques qui englobe tous les fabricants, les fournisseurs et les sous-traitants de composants numériques essentiels. Il précise également qu'une simple obligation contractuelle, faite aux entreprises étrangères du secteur, de respecter le droit suisse ne saurait constituer une garantie suffisante. Pour ce qui est du contrôle de la chaîne d'approvisionnement, le problème est que, dans le domaine informatique, celle-ci dispose de larges ramifications qui s'étendent bien souvent à plusieurs pays. Dans ce contexte, la difficulté consiste à envisager des mesures supplémentaires permettant de réduire les risques liés à la dépendance à l'égard de certains composants numériques essentiels.
La Confédération et les cantons ont créé des outils dans de nombreux domaines afin de contrôler la qualité des infrastructures et des biens de consommation importants. L'Inspection fédérale des installations à courant fort contrôle par exemple la qualité des matériels électriques. Le Laboratoire fédéral d'essai des matériaux et de recherche est né de la nécessité de contrôler les matériaux requis pour la construction d'infrastructures tels que des routes ou des ponts. Dans le domaine de la sécurité alimentaire aussi, la Confédération dispose de mécanismes qui lui permettent de garantir le respect de certaines normes de base.
Compte tenu de l'importance stratégique et de la vulnérabilité des systèmes informatiques, il est indispensable de mettre en place des outils de contrôle et d'essai dans le secteur des composants numériques essentiels. Un organe de contrôle indépendant permettrait non seulement d'améliorer la gestion des risques dans les domaines sensibles, mais elle offrirait également à la Suisse la possibilité de faire un usage ciblé de son avantage en matière de localisation sur ce marché d'avenir qu'est la cybersécurité. Dans un contexte de rivalité mondiale croissante en matière d'informatique et compte tenu de la concentration des fabricants dans quelques grandes puissances, un organe de contrôle sis dans un pays neutre et politiquement stable comme la Suisse disposerait des meilleures conditions possible pour attirer des clients étrangers intéressés par un label de type "swiss secure".
Dans ce contexte, je prie le Conseil fédéral de répondre aux questions suivantes.
1. Que pense-t-il de la création d'un organe de contrôle visant à réduire les risques pour la sécurité liés aux composants numériques essentiels au moyen d'outils similaires à ceux qui existent dans d'autres domaines ?
2. Sur quelles structures existantes la mise en place d'un tel organe pourrait-elle s'appuyer ?
3. Que pense le Conseil fédéral de l'idée d'une coopération avec le secteur informatique suisse, avec les hautes écoles et avec les associations professionnelles du secteur en vue de la création d'un organe de contrôle des composants numériques essentiels ? Selon quelles modalités les statuts de l'organe et son financement pourraient-ils être organisés et quels seraient la mission et le rôle de la Confédération ?
4. Est-il aussi d'avis que les tensions géopolitiques actuelles dans le secteur informatique mettent la Suisse dans une situation particulièrement favorable lorsqu'il s'agit d'endosser un rôle de premier ordre en vue de réduire les risques systémiques liés aux composants numériques essentiels ?
5. Pense-t-il que la création d'un organe de contrôle indépendant dans ce contexte représente une possibilité de faire un usage ciblé de son avantage en matière de localisation sur le marché d'avenir qu'est la cybersécurité ? Que pense-il faire d'autre pour renforcer la position de la Suisse dans ce secteur ?
Stellungnahme des Bundesrates
Le Conseil fédéral partage les préoccupations de l'auteur de l'interpellation concernant les risques en matière de sécurité que représentent les portes dérobées pouvant affecter les composants matériels et logiciels essentiels. Le Centre de compétences pour la cybersécurité de la Confédération est en contact avec tous les acteurs afin d'élaborer des mesures communes visant à réduire les risques de ce genre.
1. Compte tenu de la multitude d'éléments qui constituent les composants matériels et logiciels, de la mondialisation de leur processus de fabrication ainsi que du dynamisme du marché, le contrôle systématique des composants numériques clés représenterait un défi considérable. Grâce à la mise en commun des connaissances spécialisées et à sa capacité d'appliquer des procédures techniques complexes pour contrôler des composants matériels et logiciels, un organe de contrôle pourrait en effet contribuer à une détection plus précoce et à une estimation plus précise des risques. L'opportunité de lui faire également établir des certifications pour l'octroi de labels devrait faire l'objet d'une analyse approfondie. Les processus de certification sont souvent très chronophages et peuvent rarement être effectués intégralement. Il n'est guère possible d'exclure toutes les portes dérobées et failles de sécurité possibles, notamment dans le cas des composants matériels et logiciels intégrés. De plus, la certification de matériel informatique ou de logiciels se référerait à un état ponctuel. Or, celui-ci change fréquemment, spécialement dans le cas des logiciels. La certification ne pourrait vraisemblablement suivre qu'avec peine le rythme d'actualisation. Un autre fait à prendre en compte est qu'il n'existe désormais plus guère d'appareils sans informatique embarquée. Le domaine à contrôler serait donc extrêmement large et peu homogène. Avant que l'on décide de la création d'un organe de contrôle, il faudrait déterminer avec précision, à l'aide d'une analyse coût/utilité soignée, si un contrôle et une certification seraient judicieux et, si oui, quelles formes ils devraient revêtir.
2. La protection de la Suisse contre les cyberrisques est une tâche commune des milieux scientifiques et économiques et de l'État, l'intervention de ce dernier ayant cependant un caractère subsidiaire. S'il fallait créer un organe de contrôle, le Conseil fédéral estime qu'il faudrait donner la préférence à un organe extérieur à l'administration. Une intégration aux structures des hautes écoles serait tout indiquée à cet effet. Il faudrait aussi examiner comment les compétences d'entreprises privées pourraient être exploitées dans ce domaine. À l'intérieur de l'administration, le nouveau Centre de compétences pour la cybersécurité, éventuellement complété par des capacités du Campus cyberdéfense d'armasuisse, serait une structure possible, mais il devrait être considérablement renforcé à cet effet.
3. En cas de création d'un organe de contrôle, la participation de l'économie et des hautes écoles revêtirait une importance primordiale. La Confédération discute l'idée d'un organe de contrôle et de recherche avec des partenaires issus de l'économie, notamment la commission "Cybersecurity" d'ICTswitzerland (association faîtière de l'économie des TIC) et l'organe consultatif "Transformation numérique". Dans le cadre de ces discussions, les tâches pouvant être assumées par un organe de ce genre ne sont pas encore suffisamment claires. Les questions de la forme d'organisation et du financement ne pourront être élucidées que dans un second temps.
4. Les tensions géopolitiques dans le domaine de l'informatique offrent effectivement à la Suisse des chances de se profiler en tant que place économique en matière de cybersécurité. Elle bénéficie dans ce domaine aussi d'une excellente réputation sur le plan international, et elle est perçue et appréciée comme un acteur crédible et fiable. En même temps, en raison de la faible importance de la Suisse en tant que site de production de composants informatiques, sa puissance sur le marché reste faible en comparaison internationale. Pour que l'on puisse réduire efficacement les risques systémiques à l'échelon international, il faut une collaboration étroite avec des partenaires dignes de confiance travaillant dans un contexte analogue à celui de la Suisse. La collaboration en matière de recherche au sein de l'Europe revêt par conséquent une importance particulière.
5. Jusqu'à présent, les labels et certifications qui existent déjà dans le domaine de la cybersécurité ont connu une faible diffusion, ce qui amène à conclure que la demande est encore limitée. Des effets indirects tels que le renforcement du pôle de recherche seraient cependant prévisibles. Le Conseil fédéral tient beaucoup à la mise en place d'une économie de la sécurité informatique forte et innovante. Avec la mesure 3 de la Stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC), il entend créer pour cela des conditions générales favorables. À cet effet, il prévoit en particulier la mise en place et le développement du Centre de compétences pour la cybersécurité et va examiner d'ici à la fin de 2020 quels moyens peuvent être engagés pour la promotion de l'innovation en matière de cybersécurité. Par contre, le Conseil fédéral renonce sciemment à instaurer des mesures incitatives directes relevant de la politique industrielle, car de telles mesures seraient contraires aux principes de politique économique de notre pays.
Réponse du Conseil fédéral.